du 25 octobre 2007 |
ÉQUIPEMENTS & SERVICES |
INTERNET ET WIFI DANS LES LIEUX PUBLICS
IL FAUT CONSERVER LES HISTORIQUES DES CONNEXIONS DE VOS CLIENTS PENDANT UN AN
Pour faire face à l'apparition d'une criminalité liée à l'usage d'internet, le législateur a mis en place une réglementation qui impose en particulier aux opérateurs de conserver les historiques des connexions. Quelles sont les obligations des hôtels, restaurants et cybercafés qui offrent des accès wifi ?
Le
4 octobre dernier, l'association Wireless Link avait réuni des experts autour
d'une table ronde pour faire le point sur cette réglementation.
À cette occasion, le commissaire divisionnaire
Christian Aghroum a expliqué le rôle de l'Office central de lutte
contre la criminalité liée aux technologies de l'information et de la
communication (OCLCTIC). Cet organisme, dépendant du ministère de l'Intérieur,
est né, en 2000, de la nécessité de réaliser des perquisitions
dans le cadre des enquêtes menées auprès des utilisateurs des nouvelles
technologies. Ses missions portent sur les infractions issues des nouvelles technologies
en '-ING' (phishing, spamming, hacking…), sur les infractions facilitées
par les nouvelles technologies en 'cyber' (cyberpornographie, cybercriminalité…),
et sur les infractions liées à la carte de paiement (contrefaçon
de carte bancaire, vol d'identité…).
L'utilisation du wifi à partir des hotspots vient renforcer la complexité
des affaires en favorisant l'anonymat. Aujourd'hui, les points d'accès
wifi peuvent être mis en oeuvre facilement et à bas coût. De plus,
le matériel utilisé se miniaturise, ce qui complique davantage l'identification
des usagers.
Le
point de vue de la justice
La réglementation sur
la conservation des données de connexion repose sur les textes suivants : la
loi relative à la sécurité quotidienne du 15 novembre 2001, la
directive européenne sur la rétention des données de connexion,
adoptée le 21 février 2006 par le Conseil européen et le décret
d'application du 26 mars 2006 (de la loi antiterrorisme du 23 janvier 2006).
Au final, ces textes fixent
: la durée de conservation de données de trafic (un an pour la
France), les catégories de données à conserver (identification
de l'utilisateur, des destinataires de la communication, du type d'équipement,
de la date, de l'heure et de la durée de chaque échange, des services
complémentaires utilisés, des fournisseurs). Christian Aghroum a attiré
l'attention sur la question de la durée de stockage des informations. En effet,
les équipes de l'OCLCTIC, qui travaillent sur la traçabilité des
informations, ont besoin de temps pour mener leurs enquêtes. Dans une affaire
complexe, les résultats d'une requête peuvent susciter une nouvelle requête
et ainsi de suite. La règlementation définit un délai d'un an
pour détenir et conserver les données de trafic et ce délai ne
semble pas raisonnable pour mener à bien les enquêtes dans les meilleures
conditions. Par ailleurs, la loi établit un compromis entre le respect des
libertés individuelles et l'exhaustivité des informations à stocker
pour améliorer l'efficacité des recherches. Ainsi, les enquêteurs
doivent se contenter des destinataires des mails alors que la connaissance de leur
contenu permettrait probablement d'aboutir plus rapidement. De même, l'identification
des utilisateurs fait appel à des outils tels que les adresses Mac des terminaux
utilisés (adresse physique de l'ordinateur), mais il n'existe pas d'annuaire
des adresses Mac. Aussi, lorsque cette information est stockée, elle ne permet
pas de retrouver l'utilisateur du terminal, et participe seulement à la constitution
d'un faisceau de preuves lorsque cet utilisateur est identifié.
Le point de vue de la CNIL
M. Moulin de la CNIL
(Commission nationale de l'informatique et des libertés) a expliqué que
l'organisation qu'il représente est consultée sur tout projet de loi ou
de décret pour avis. La commission s'est exprimé sur le projet de loi
de lutte antiterrorisme et a remis un avis assez sévère. Selon elle, le
flou demeure en ce qui concerne le 'qui' (conserve les données), sur
la question de savoir 'quelles' données conserver et 'comment'
les conserver. Ce flou nuit à la sécurité publique.
Sur le 'qui', la loi s'adresse
à tous ceux qui offrent (gratuitement ou non) un accès internet au public
(cybercafés, opérateurs wifi, hôtels…). Mais quid des universités
? Des mairies ? Des bibliothèques ? Elles ne sont pas visées dans un premier
temps, alors que ces institutions présentent le même caractère de
risque qu'un opérateur ou qu'un hébergeur de site. En revanche, s'agissant
d'un domaine privé, une entreprise n'a pas à conserver les données
des employés qui se connectent dans un cadre non-professionnel. Si l'entreprise
ouvre un accès internet à ses visiteurs, la loi s'applique. Concrètement,
cette mise à disposition d'un accès internet via un point d'accès
wifi, se fait souvent via un opérateur. L'obligation légale s'applique
alors à cet opérateur. Dans le cas d'un accès libre, la responsabilité
demeure pleine et entière à celui qui fournit l'accès. Le bon sens
devrait s'appliquer. Par exemple, dans le cas d'une université ou d'un campus
offrant un accès web aux étudiants, il n'existe pas d'obligation d'identifier
les utilisateurs. Pourtant, on le sait, les étudiants se repassent fréquemment
le login et le mot de passe édité, ce qui multiplie les utilisateurs identifiés
sous les mêmes données.
En ce qui concerne 'quelles'
données conserver, on peut s'accorder à dire que le contenu du message
ou de la communication téléphonique est concerné, ainsi que les adresses
IP des sites consultés, l'horodatage, la date de la connexion, la durée,
le mode et le type de connexion… L'opérateur ou le cybercafé par
exemple n'ont aucune obligation d'identifier l'utilisateur, par le biais d'un fichier
nominatif. Des questions s'ajoutent : les destinataires du message doivent-ils être
identifiables (dans le cas d'e-mail,
de
chat, de forum…) ? La directive de 2006 définit bien les données
à conserver : il s'agit de l'adresse IP ou n° de téléphone
pour identifier l'utilisateur.
Le point de vue de l'avocat
Dans le domaine de la conservation
des données, l'obligation d'identification en wifi demeure un véritable
problème : il n'y a pas d'obligation positive d'identification. Me
Benoît de la Taille, avocat spécialisé dans ce domaine, précise
que les données concernées ne recoupent que celles "susceptibles d'être
enregistrées par l'opérateur". Il s'agit là d'une "possibilité"
pour l'opérateur, pas d'une obligation. Il rappelle également que le
principe en France est celui de la non-conservation des données (effacement
des informations), mais pour atteindre l'équilibre entre risque et sécurité,
il convient de définir des exceptions. Ce principe concerne les fournisseurs de service internet (ISP) ainsi que ceux
qui fournissent l'accès internet au public : les fournisseurs d'accès
(FAI) ou les opérateurs wifi. Selon Me de la Taille, l'insécurité
juridique provenant des textes en vigueur réside dans le besoin de compléter
la rédaction de l'article 6 de la LCEN (loi pour la confiance dans l'économie
numérique, prévue au départ dans le cadre des activités de e-commerce)
pour préciser la liste des personnes concernées par ceux qui "détiennent
et conservent les données".
Le point de vue du consultant
en gestion de projets
Catep, représenté
par Yohan Journo, a présenté les différents modes d'accès
aux réseaux wifi (tout gratuit, par carte à gratter, en payant en ligne
par CB, via son téléphone mobile, par abonnement DATA (multiréseau),
etc.). Cette présentation met en évidence que certains réseaux,
qui proposent un accès gratuit à internet via un simple routeur wifi,
sont dans l'impossibilité d'identifier les utilisateurs et de respecter les
obligations légales. Les opérateurs doivent disposer d'un réseau
structuré (contrôleur d'accès, serveur proxy, serveur Radius, système
d'information…) pour permettre d'identifier les utilisateurs et de stocker
les données de connexion. Contrairement à une idée reçue,
les difficultés liées au stockage des données de connexion ne sont
pas liées aux volumes à stocker mais à la mise en place d'une
structure de réseau adaptée, dès le premier hotspot équipé,
et la complexité à reconstituer un historique à partir d'une
simple information (adresse IP par exemple).
Le point de vue d'un opérateur
wifi
Les opérateurs wifi
sont confrontés à une réglementation lourde. Le cadre réglementaire
(Code des postes et des télécoms, loi antiterroriste, LCEN, loi informatique
& libertés) reste flou et les opérateurs sont soumis à une
véritable insécurité juridique. Selon François Héry
de Meteor Networks, pour agir au mieux, les opérateurs devraient avoir à
leur disposition un document de référence précisant les données
à conserver. Des moyens humains et techniques sont nécessaires pour
être en conformité avec les nouvelles dispositions réglementaires.
Dans l'objectif de respecter les règles, Meteor Networks a donc mis en place
des moyens adéquats : ressources humaines, chaîne technique, process
dédiés aux questions de la conservation des données, de la suppression
des données et de leur divulgation. La difficulté réside dans la
définition du responsable de la détention et de la conservation des données
: les WISP (fournisseurs de services internet wifi) le sont forcément, et,
si le réseau est ouvert au public, celui qui donne accès devient opérateur
de fait et donc responsable.
Les contraintes sont parfois
contradictoires (obligation de conserver les données et obligation de les effacer
au bout du délai légal), l'environnement reste flou, les intervenants
sont multiples. Des questions ne trouvent pas de réponse : qu'advient-il si
les données d'identification lors du log sont modifiées ? Si les données
sont divulguées ? Meteor Networks expose la nécessité de fédérer
les opérateurs wifi pour travailler ensemble sur ces sujets et présenter
un interlocuteur unique face aux différents organismes. Il considère
que l'association Wireless Link est idéalement cet organisme fédérateur.
Après ces premiers échanges
sur la question, il apparaît que le débat reste encore largement ouvert
et qu'une zone d'ombre et de flou persiste dans tous les esprits. Difficultés
d'interprétation claire des textes, zones de flou sur le 'qui' conserve et
'quelles données' conserver, insécurité juridique liée à
la définition des acteurs concernés… Face à ce constat, l'association
Wireless Link prend l'engagement de poursuivre la discussion par le biais d'un atelier
de travail réunissant tous les acteurs du marché, pour mettre en commun
les idées et les projets. EN607 zzz38
En
résumé pour les hôtels, les restaurants et les cybercafés
Étant donné les zones de flou qui
persistent sur ce thème, nous recommandons aux établissements offrant
un accès wifi à leurs clients de vérifier les points suivants : L'association Wireless Link À l'initiative des sociétés Orange, SFR et Bouygues Telecom, des opérateurs du wifi en France ont décidé d'unir leurs forces pour offrir la meilleure couverture à l'ensemble de leurs clients et un service wifi public homogène. Ils ont mis en place une association afin de développer le marché français du wifi public. L'association est ouverte à tous les opérateurs wifi français s'appuyant sur la technologie W-LAN et disposant au minimum d'un hotspot . Elle compte aujourd'hui 9 membres. Les acteurs principaux du wifi en France, réunis dans cette structure, affichent ainsi leur volonté d'offrir aux clients une simplicité d'utilisation et une qualité de service. Au sein de l'association, ces opérateurs travaillent essentiellement sur l'interopérabilité qui consiste à établir des accords entre opérateurs de réseaux wifi pour que leurs clients puissent se connecter à internet haut débit sans fil, quel que soit l'opérateur du hotspot où ils se trouvent. Mais l'association n'est pas impliquée dans les accords entre opérateurs qui relèvent de la négociation commerciale bilatérale. |
Pour retrouver les articles déjà publiés sur Équipements et nouvelles technologies, cliquez ici
Complément d'article 3052p42
Article précédent - Article suivant
Vos questions et vos remarques : Rejoignez le Forum des Blogs des Experts
L'Hôtellerie Restauration n° 3052 Hebdo 25 octobre 2007 Copyright © - REPRODUCTION INTERDITE